Automatische certificaatinschrijving en -verlenging configureren via CAPF Online CA

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 juni 2023
Document-id:214501

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft automatische certificaatinschrijving en -verlenging via de online functie Certificaatautoriteit (CAPF) voor Cisco Unified Communications Manager (CUCM).

    Bijgedragen door Michael Mendoza, Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Unified Communications Manager
    • X.509-certificaten
    • Windows-server
    • Windows Active Directory (AD)
    • Windows Internet Information Services (IIS)
    • NT (New Technology) LAN Manager (NTLM)-verificatie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • CUCM versie 12.5.1.10000-22
    • Windows Server 2012 R2
    • IP-telefoon CP-8865/firmware: SIP 12-1-1SR1-4 en 12-5-1SR2.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

     Dit document behandelt de configuratie van het kenmerk en de bijbehorende bronnen voor aanvullend onderzoek.

    De servertijd en -datum valideren

    Zorg ervoor dat de Windows-server de juiste datum, tijd en tijdzone heeft ingesteld, omdat dit van invloed is op de geldigheidstijden van het CA-certificaat (Certificate Authority) van de server en van de certificaten die door de server zijn afgegeven.

    Computernaam bijwerken

    Standaard heeft de computernaam van de server een willekeurige naam zoals WIN-730K65R6BSK. Het eerste wat moet worden gedaan voordat u AD Domain Services inschakelt, is ervoor te zorgen dat de computernaam van de server wordt bijgewerkt naar wat u wilt dat de hostnaam van de server en de hoofdnaam van de CA-uitgever aan het eind van de installatie zijn; anders duurt het veel extra stappen om dit te veranderen nadat AD-services zijn geïnstalleerd.

    • Navigeer naar lokale server en selecteer de computernaam om de systeemeigenschappen te openen
    • Selecteer de knop Wijzigen en typ de nieuwe computernaam:

    1_rename_server

    • Start de server opnieuw op om de wijzigingen te kunnen toepassen

    Configureren

    Advertentieservices, gebruikers- en certificaatsjabloon

    Active Directory-services inschakelen en configureren

    • Selecteer in Server Manager de optie Rollen en functies toevoegen, selecteer Role-based of feature-based installatie en kies de server uit de pool (er moet er slechts één in de pool zijn) en vervolgens Active Directory Domain Services:

    2_ad_ds_enable

    • Ga verder naar Volgende knop en vervolgens Installeren
    • Selecteer de sluitknop nadat de installatie is voltooid
    • Er verschijnt een waarschuwingstabblad onder Server Manager > AD DS met de titel Configuratie vereist voor Active Directory Domain Services; Selecteer meer koppeling en dan beschikbare actie om de setup-wizard te starten:

    3_ad_ds_install_1

    • Volg de aanwijzingen in de wizard Domeininstelling, voeg een nieuw Forest toe met de gewenste Root Domain Name (gebruikt michamen.com voor dit lab) en verwijder het DNS-vakje indien beschikbaar, definieer het DSRM-wachtwoord (gebruikt C1sc0123! voor dit lab):

    4_ad_ds_install_2

    5a_ad_ds_install_3

    • Noodzaak om een NetBIOS domeinnaam te specificeren (gebruikt MICHAMEN1 in dit lab).
    • Volg de wizard om dit te voltooien. Vervolgens start de server opnieuw op om de installatie te voltooien.
    • Dan moet je de volgende keer dat je inlogt de nieuwe domeinnaam opgeven. Bijvoorbeeld MICHAMEN1\Administrator.

    5b_ad_ds_install_4

    Certificaatservices inschakelen en configureren

    • Selecteer in Server Manager de optie Rollen en functies toevoegen
    • Selecteer Active Directory-certificaatservices en volg de aanwijzingen om de gewenste functies toe te voegen (alle beschikbare functies zijn geselecteerd uit de rolservices die voor dit lab zijn ingeschakeld)
    • Voor webinschrijving voor Role Services controleer de certificeringsinstantie

    enable_cs_1

    enable_cs_2

    • Een waarschuwingstabblad moet verschijnen onder Server Manager >AD DS met de titel Configuratie vereist voor Active Directory Certificate Services; Selecteer de meer link en dan beschikbare actie:

    enable_cs_3

    • Navigeer in de wizard Configuratie na installatie van AD-CS door de volgende stappen: 
    • Selecteer de rollen voor de inschrijving van certificeringsinstanties en certificeringsinstanties
    • Kies Enterprise CA met opties:
    • Root CA
    • Een nieuwe privé-sleutel maken
    • Private toets gebruiken - SHA1 met standaardinstellingen
    • Stel een algemene naam in voor de CA (moet overeenkomen met de hostnaam van de server):

    enable_cs_4

    • Geldigheid instellen voor 5 jaar (of meer indien gewenst)
    • Selecteer de knop Volgende door de rest van de wizard

    Creatie van certificaatsjabloon voor CiscoRA

    • Open MMC. Selecteer het Windows start logo en type mmc vanuit Run
    • Open een MMC-venster en voeg de volgende snap-ins toe (gebruikt op verschillende punten van de configuratie) en selecteer vervolgens OK:

    6_template_1

    6_template_2

    • Selecteer Bestand > Deze consolesessie opslaan en opslaan op het bureaublad zodat u deze snel weer kunt openen
    • Selecteer certificaatsjablonen in de invoegtoepassingen
    • Maak of kloon een sjabloon (bij voorkeur de "Root Certification Authority"-sjabloon indien beschikbaar) en noem deze aan CiscoRA

    6_template_3

    • Wijzig de sjabloon. Klik met de rechtermuisknop op de afbeelding en selecteer Eigenschappen
    • Selecteer het tabblad Algemeen en stel de geldigheidsperiode in op 20 jaar (of een andere waarde indien gewenst). Zorg ervoor dat de "displaynaam" en "naam" van de sjabloon overeenkomen met deze tab

    6_template_8

    • Selecteer het tabblad Extensies, markeer Toepassingsbeleid en selecteer vervolgens Bewerken

    6_template_4

    • Verwijder beleid dat is weergegeven in het venster dat wordt weergegeven
    • Selecteer het tabblad Onderwerpnaam en selecteer de radioknop Aanvragen
    • Selecteer het tabblad Beveiliging en geef alle rechten voor alle groepen/gebruikersnamen die worden weergegeven

    6_template_5

    De certificaatsjabloon beschikbaar stellen voor afgifte

    • Selecteer in de MMC-invoegtoepassing Certificeringsinstantie en vouw de mappenstructuur uit om de map Certificaatsjablonen te vinden
    • Klik met de rechtermuisknop in de witte ruimte in het frame met de naam en het beoogde doel
    • Selecteer Nieuwe en te verstrekken certificaatsjabloon
    • De nieuwe Cisco RA-sjabloon selecteren en bewerken

    6_template_6

    Active Directory voor CiscoRA-account maken

    • Navigeren naar MMC snap-ins en selecteer Active Directory-gebruikers en -computers
    • Selecteer de map Gebruikers in de structuur in het meest linkse deelvenster
    • Klik met de rechtermuisknop in de witte ruimte in het frame met de naam, het type en de beschrijving
    • Selecteer Nieuw en Gebruiker
    • Maak de CiscoRA-account met gebruikersnaam/wachtwoord (ciscora/Cisco123 is gebruikt voor dit lab) en selecteer het selectievakje Wachtwoord dat nooit verloopt wanneer dit wordt weergegeven

    6_template_7

    IIS Configuratie van verificatie en SSL-binding

    Inschakelen NTLM Verificatie

    • Navigeer naar MMC snap-ins en selecteer de naam van uw server onder de Internet Information Services (IIS) Manager
    • De lijst met functies wordt in het volgende frame weergegeven. Dubbelklik op het pictogram van de verificatiefunctie

    web_auth_1

    • Markeer Windows-verificatie en selecteer in het kader Handelingen (rechter deelvenster) de optie Inschakelen

    web_auth_2

    • Het deelvenster Handelingen toont de optie Geavanceerde instellingen; selecteer deze optie en vink de optie Kernel-mode-verificatie inschakelen uit

    web_auth_3

    • Selecteer Providers en zet orde in NTML dan Onderhandelen.

    web_auth_4

    Het identiteitscertificaat voor de webserver genereren

    Als dat nog niet het geval is, moet u een certificaat en een identiteitscertificaat voor uw webservice genereren dat door de CA is ondertekend, omdat CiscoRA geen verbinding met de case kan maken als het certificaat van de webserver zelfondertekend is:

    • Selecteer uw webserver onverwacht-in van IIS en dubbelklik op het functiepictogram Server Certificates:

    gen_cert_1

    • Standaard kunt u één certificaat zien dat daar wordt vermeld; dat is de zelfondertekende root-CA-cert; In het menu Acties selecteert u de optie Domeincertificaat maken. Voer de waarden in van de configuratiewizard om uw nieuwe certificaat te maken. Zorg ervoor dat de algemene naam een oplosbare FQDN is (volledig gekwalificeerde domeinnaam) en selecteer vervolgens Volgende:

    gen_cert_2

    • Selecteer het basiscertificaat van uw CA om de emittent te zijn en selecteer Voltooien:

    gen_cert_3

    • U kunt beide zien, het CA-certificaat en het identiteitscertificaat van uw webserver:

    gen_cert_4

    SSL-binding voor webservers

    • Selecteer een site in de boomstructuur weergave (u kunt de Standaardwebsite gebruiken of deze verfijnder maken voor specifieke sites) en selecteer Bindingen in het deelvenster Handelingen. Dit brengt de bindingen editor die u in staat stelt om bindingen voor uw website te maken, bewerken en verwijderen. Selecteer Add om uw nieuwe SSL-band aan de site toe te voegen.

    ssl_1

    • De standaardinstellingen voor een nieuwe binding worden op HTTP op poort 80 ingesteld. Selecteer https in de vervolgkeuzelijst Type. Selecteer het zelfondertekende certificaat dat u in de vorige sectie hebt gemaakt in de vervolgkeuzelijst SSL-certificaat en selecteer vervolgens OK.

    ssl_2

    • Nu hebt u een nieuwe SSL-binding op uw site en alles wat overblijft is te verifiëren dat het werkt door te selecteren Bladeren *:443 (https) optie uit het menu en ervoor te zorgen dat de standaard IIS-webpagina gebruik maakt van HTTPS:

    ssl_3

    ssl_4

    • Herinner me om de dienst opnieuw te beginnen IIS na configuratieveranderingen. Gebruik de optie Opnieuw starten in het deelvenster Handelingen.

    CUCM-configuratie

    cm_config_1

    • Navigeer naar Security > Certificate Management vanaf de beheerpagina van het besturingssysteem en selecteer de knop Upload Certificate/Certificate om het CA-certificaat te uploaden met het doel dat is ingesteld op CAPF-trust.

    cm_config_2

    ... Op dit punt is het ook een goed idee om dat zelfde certificaat van CA als CallManager-trust te uploaden omdat het nodig is als de veilige signaleringsencryptie voor de eindpunten wordt toegelaten (of zal worden toegelaten); wat waarschijnlijk is als het cluster in Gemengde modus is.

    • Ga naar Systeem > Serviceparameters. Selecteer de Unified CM Publisher-server in het serverveld en de Cisco Certificate Authority Proxy-functie in het veld Service
    • Stel de waarde van Certificaatverlener in op Endpoint naar Online CA en voer de waarden in voor de velden Online CA-parameters. Zorg ervoor dat u de FQDN van de webserver gebruikt, de naam van de certificaatsjabloon die eerder is gemaakt (CiscoRA), het CA-type als Microsoft CA en gebruik de referenties van de CiscoRA-gebruikersaccount die eerder is gemaakt

    cm_config_3

    • In een pop-venster wordt aangegeven dat de CAPF-service opnieuw moet worden gestart. Maar activeer eerst de Cisco-service voor certificaatinschrijving via Cisco Unified Service > Tools > Serviceactivering, selecteer de uitgever in het veld Server en controleer het selectievakje Cisco Certificate Enrollment Service (Cisco-certificaatinschrijvingsservice) en selecteer vervolgens de knop Opslaan:

    cm_config_4

    Verifiëren

    Controleer IIS-certificaten

    • Van een browser van het Web in een PC met connectiviteit aan de server (bij voorkeur in het zelfde netwerk zoals de Uitgever CUCM) navigeer aan URL:

    https://YOUR_SERVER_FQDN/certsrv/

    • Er wordt een waarschuwing weergegeven dat het certificaat niet betrouwbaar is. Voeg de uitzondering toe en controleer het certificaat. Zorg ervoor dat deze overeenkomt met de verwachte FQDN:

    verify_1

    • Nadat u de uitzondering hebt geaccepteerd, dient u te verifiëren; op dit punt dient u de aanmeldingsgegevens te gebruiken die eerder voor de CiscoRA-account zijn geconfigureerd:

    verify_2

    • Na verificatie moet u de AD CS (Active Directory Certificate Services) welkomstpagina kunnen zien:

    verify_3

    Controleer de CUCM-configuratie

    Voer de stappen uit die u normaal volgt om een LSC-certificaat op een van de telefoons te installeren.

    Stap 1. Open de pagina CallManager-beheer, het apparaat en vervolgens de telefoon

    Stap 2. Selecteer de knop Zoeken om de telefoons weer te geven

    Stap 3. Selecteer de telefoon waarop u de LSC wilt installeren

    Stap 4. Blader naar beneden naar informatie over de certificeringsinstantie-proxyfunctie (CAPF)

    Stap 5. Selecteer de optie Installeren/upgraden vanuit de werking van het certificaat.

    Stap 6. Selecteer de Verificatiemodus. (Bij Null String is geen probleem voor testdoeleinden)

    Stap 7. Schuif naar de bovenkant van de pagina en selecteer opslaan en pas vervolgens Config toe op de telefoon.

    Stap 8. Nadat de telefoon herstart en opnieuw registreert, gebruikt u het filter LSC Status om te bevestigen dat de LSC met succes is geïnstalleerd.

    • Open MMC van de AD-server en vouw de invoegtoepassing Certificeringsinstantie uit om de map Afgegeven certificaten te selecteren
    • De ingang voor de telefoon wordt getoond Binnen de summiere mening, zijn dit enkele getoonde details:
      • Aanvraag-ID: uniek volgnummer
      • Naam aanvrager: de gebruikersnaam voor de geconfigureerde CiscoRA-account moet worden weergegeven
      • Certificaatsjabloon: de naam van de gemaakte CiscoRA-sjabloon moet worden weergegeven
      • Uitgegeven gemeenschappelijke naam: Het model van de telefoon dat door de apparatennaam wordt toegevoegd moet worden getoond
      • Effectieve datum en vervaldatum certificaat

    cert_issue_1

    Verwante links

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    08-Jun-2023
    Bevestig met BU dat kerbeos niet wordt ondersteund, dus het verwijderen van elke configuratie die wordt voorgesteld met betrekking tot het.
    1.0
    05-Jun-2019
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Michael Mendoza
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten